Задать вопрос

Политики Selinux для процесса, возможно ли?

Друзья, помогите разобраться.
Есть сервер на Debian на котором от не привилегированного пользователя запускаются несколько (до 100 единиц) однотипных процессов в screen'ах. У запускаемого софта есть неприятная особенность — через некую уязвимость пользователь отдельного запущенного экземпляра процесса может получить доступ ко всем директориям и файлам доступным пользователю от имени которого он запущен.
Возможно ли с помощью selinux заблокировать запущеный процесс в директории из которой он запущен?
Chroot — не подойдёт, т.к. полностью перестанет функционировать система управления этими запущенными процессами.
  • Вопрос задан
  • 2714 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
BuriK666
@BuriK666
Компьютерный псих
Вам подойдет Grsecurity
Ответ написан
Комментировать
Да, с помощью SELinux такое сделать можно. Исполняемому процессу назначается метка, далее пишется правило, которое разрешает ему обращаться только к ресурсам с определенными метками (контекстами). Далее обращения за пределы разрешенных директорий, несмотря на то, что файловых прав доступа хватает, блокируются ядром.

Попробуйте поискать в сети примеры такой изоляции. Начать можно, например, отсюда.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы